Business Alliance for Secure Commerce (BASC) Estándares BASC Versión 3-2008 Adopción de Requisitos Mínimos de Seguridad C-TPAT Transportador Marítimo Transportadores Marítimos deben conducir una completa evaluación de sus prácticas de seguridad basadas en los siguientes requisitos BASC. Cuando un Transportador Marítimo no controla un elemento específico del servicio de transporte de carga y este se ha contratado para proporcionarlo, como por ejemplo, con un operador de un terminal marítimo o un navío fletado por un tiempo, con quien esto se ha contratado, el Transportador Marítimo debe trabajar con estos Asociados de Negocio para procurar asegurar que las medidas de seguridad pertinentes estén en el lugar e implementadas. El Transportador Marítimo es responsable de ejercer un cuidado prudente para que toda la carga, subida a bordo de su navío, este de conformidad con la ley aplicable, regulaciones y los términos (las condiciones) de este programa. Estos criterios mínimos de seguridad se presentan como las bases fundamentales a ser utilizadas por los Transportadores Marítimos para establecer prácticas de seguridad eficaces que optimicen el rendimiento de la cadena de suministro y mitiguen el riesgo de pérdida, robo y paso de contrabando que pudiese introducir elementos peligrosos a la cadena de suministro mundial. BASC reconoce la complejidad de las cadenas de suministro y prácticas de seguridad internacionales, y 1 apoya la aplicación e implementación de medidas de seguridad basadas en el riesgo. Por lo tanto, el Sistema de Gestión en Control y Seguridad BASC brinda flexibilidad y permite adaptar los planes de seguridad con base en el modelo empresarial de la empresa miembro de BASC. Los transportadores Marítimos que quieran certificar su Sistema de Gestión en Control y Seguridad BASC, deben cumplir los requisitos del Código ISPS ( PBIP), por tanto, BASC no pretende duplicar los requerimientos de seguridad contenidas en el Código y por las regulaciones establecidas por la legislación de cada uno de los países. Las medidas de seguridad apropiadas, tal como se indican en este documento, deben ser implementadas y mantenidas por los Transportadores Marítimos basados en el riesgo. 1 Los Transportadores Marítimos deben tener un proceso documentado y verificable para determinar el riesgo en todas sus operaciones, basado en su modelo empresarial (es decir, volumen, puntos de origen y destino, ruta, certificación BASC, posible amenaza terrorista mediante información de fuente abierta, que tiene seguridad inadecuada, previos incidentes de seguridad, etc.). 1 PARTE “A” 1. Requisitos de los Asociados de Negocio Transportistas Marítimos tienen que tener procedimientos escritos y verificables para la selección de sus agentes y de los proveedores de servicios. El Transportador Marítimo debe contar también con procedimientos de selección para los nuevos clientes, más allá de cuestiones de solvencia financiera e incluir indicadores de si el cliente parece ser un negocio legítimo y / o poseen un riesgo de seguridad. El Transportador Marítimo también tiene que tener procedimientos para revisar las solicitudes del cliente que pudiera afectar a la seguridad del buque o del cargamento o que de otro modo plantean importantes aspectos de seguridad, incluyendo requerimientos de los clientes inusuales, tales como la colocación específica de estibas a bordo del buque. 1.a. Procedimientos de Seguridad Los Transportadores Marítimos tienen que tener procedimientos escritos para la selección de nuevos clientes, especialmente aquellos que elaboran conocimientos de embarque. La presencia de este procedimiento desencadenaría mayor escrutinio por el transportador marítimo, incluyendo una detallada inspección física del exterior del contenedor del cliente sospechoso, prioritariamente antes de cargarlo al buque. Estos procedimientos también pueden incluir una información y/o reporte a otras autoridades competentes para posteriores revisiones. 1.b. Asegurando que los proveedores sigan las recomendaciones BASC Transportadores Marítimos deberán garantizar que los proveedores de servicios para los buques cumplan con los requisitos de seguridad de BASC. Revisiones periódicas de los compromisos de seguridad de los prestadores de servicios, deberían llevarse a cabo. 2. Seguridad del Contenedor Para todos los contenedores en custodia de los Transportadores Marítimos, la integridad de los mismos debe ser mantenida para protegerlos en contra de la introducción de material y/o personas no autorizadas. Transportadores marítimos tienen que tener procedimientos para mantener la integridad de los contenedores embarcados mientras estén en su custodia. Un sello de alta seguridad tiene que ser colocado a todos los contenedores cargados con destino a las exportaciones. Todos los sellos usados o distribuidos por el Transportador marítimo tienen que reunir o exceder los estándares actuales ISO PAS 17712 para sellos de alta seguridad. Transportadores marítimos y/o sus operadores de terminales marítimos tienen que tener procesos para cumplir con las reglas de verificación de sellos y requerimientos de reportes de anomalías con los sellos. 2.a. Inspección del Contenedor El requisito de inspeccionar todos los contenedores, antes de ser llenados (incluye la fiabilidad de los mecanismos de las cerraduras de las puertas) es exigido a los Exportadores a través de los estándares de BASC. Los Transportadores marítimos tienen que visualmente inspeccionar externamente todos los contenedores, en el puerto de embarque. 2 2.b. Sellos del Contenedor Procedimientos escritos tienen que estipular como lo sellos que están en posesión de los transportadores marítimos están siendo controlados. También tienen que existir procedimientos para reconocer y reportar sellos y/o contenedores comprometidos a una autoridad apropiada. 2.c. Almacenamiento del Contenedor El Transportador marítimo tiene que almacenar los contenedores en su custodia en un área segura para prevenir accesos y/o manipulación no autorizados. Procedimientos tienen que estar establecidos para reportar a las autoridades apropiadas, entradas detectadas y no autorizadas a los contenedores y a las áreas de almacenamiento de contenedores. 3. Controles de Acceso Físico El Transportador marítimo tiene que establecer controles de acceso para prevenir entradas no autorizadas a sus buques y las instalaciones de carga, mantener control de los empleados y visitantes y proteger los activos de la Compañía. Los Controles de acceso tienen que incluir la identificación positiva de todos los empleados, visitantes, proveedores de servicios, a todos los puntos de entrada con acceso restringido. Empleados y proveedores de servicios solamente tendrán acceso a aquellas áreas del buque donde ellos tienen negocios legítimos. 3.a. Abordaje y Desembarque de Buques Consistente con el Plan de Seguridad de los buques, toda la tripulación, empleados, proveedores y visitantes pueden ser objeto de revisión cuando embarcan o desembarcan de los buques. Un registro de visitantes tiene que ser mantenido y un pase para visitantes temporales tiene que ser elaborado como requisito por el Plan de Seguridad del buque. Todos los miembros de la tripulación, empleados, vendedores y visitantes, incluyendo autoridades gubernamentales, tienen que mostrar una identificación apropiada, como requisito por el plan de seguridad ISPS o por las regulaciones oficiales. 3.b. Identificación de los Empleados Tiene que existir un sistema de identificación de empleados con el propósito de controlar el acceso e identificarlos positivamente. Los empleados sólo deberían tener acceso a aquellas áreas seguras que necesitan para desempeñar sus funciones. La gerencia o el personal de seguridad de la compañía tienen que controlar adecuadamente la entrega y devolución de carnés de identificación de empleados, visitantes y proveedores. Se tiene que documentar los procedimientos para la entrega, devolución y cambio de dispositivos de acceso (por ejemplo, llaves, tarjetas de proximidad, etc.). 3.c. Identificación de los Visitantes Los visitantes tienen que presentar una identificación con foto al momento de ingresar a la instalación. Todos los visitantes deberían ser acompañados y exhibir en un lugar visible su identificación temporal. 3 3.d Procedimientos de Enfrentamiento y Retiro de Personas No Autorizadas Tienen que existir procedimientos establecidos para identificar, enfrentar y dirigirse a personas no autorizadas o no identificadas. 3.e. Requerimientos de Accesos controlados para Buques e Instalaciones de Carga. El Transportador Marítimo tiene que establecer controles de acceso para prevenir entradas no autorizadas a sus buques y las instalaciones de carga, para mantener control de los empleados y visitantes y proteger los activos de la Compañía. Los controles de acceso tienen que incluir la identificación positiva de todos los empleados, visitantes, proveedores de servicios, y autoridades gubernamentales a todos los puntos de entrada con acceso restringido. Los empleados y los proveedores de servicio deberían solo tener acceso a las áreas donde desempeñan sus funciones. Los buques y sus accesos serán controlados conforme se define en el Código PBIP y las normas que para el efecto emitan las autoridades donde se encuentre el buque. Los controles de acceso físico al buque tienen que satisfacer los criterios de seguridad establecidos en el Código PBIP y las regulaciones de las autoridades correspondientes. 4. Seguridad del Personal De acuerdo con las leyes aplicables y las regulaciones vigentes, procesos escritos y verificables deben estar establecidos para revisar futuros empleados y para realizar revisiones periódicas a empleados actuales. 4.a. Verificación para la Pre-contratación Antes de la contratación se tiene que verificar la información de la solicitud de empleo, tal como los antecedentes y referencias laborales. 4.b. Verificación y Análisis de Antecedentes De conformidad con la legislación local se deberían verificar y analizar los antecedentes de los candidatos con posibilidades de empleo. Revisiones periódicas se deberían realizar conforme la criticidad del cargo que ocupe el funcionario. 4.c. Procedimientos de Retiro de Personal y Acceso Denegado El Transportador Marítimo tiene que contar con procedimientos para retirar la identificación y eliminar el permiso de acceso a las instalaciones y sistemas para los empleados retirados de la empresa. 4.d. Identificación del Riesgo de Desertores o Fuga en la Tripulación. Los Transportadores Marítimos trabajaran con las Autoridades para identificar los factores específicos que pueden indicar cuando un tripulante posee un riesgo potencial de deserción y fuga. Cuando tales factores se identifican, estos deberán proporcionar esta información a los capitanes de los buques y estos al Transportador Marítimo, por tanto estos buques deberían establecer procedimientos para abordar el posible riesgo de deserción y fuga. 4 4.e. Notificar a las Autoridades de Desertores /Fugados. Los Capitanes de los Buques tienen que asegurarse que todos los miembros de la tripulación están a bordo antes de la salida del buque de un puerto. Si el Capitán del Buque descubre que un tripulante ha desertado o se ha fugado, tiene que reportar este hallazgo por el medio más práctico a las autoridades sobre el descubrimiento y antes de la salida del buque. 5. Seguridad de Procesos Medidas de seguridad se deben establecer para garantizar la integridad y seguridad de los procesos relevantes al transporte, manejo y almacenaje de carga. Consistente con el Plan de Seguridad del código ISPS del Transportador Marítimo, procedimientos se tienen que establecer para prevenir que personal no autorizado logre acceso el buque. En aquellas áreas geográficas donde la evaluación de riesgos indica la revisión de los contenedores, por ocultamiento de personas, tales procedimientos deben ser diseñados para direccionar e identificar el riesgo en el puerto o en la instalación portuaria en particular. Procedimientos documentados también tienen que incluir barridos de seguridad en la pre-salida del buque por polizones en el puerto de cargue extranjero y durante la normal actividad mientras esta en ruta. 5.a. Pasajeros y Tripulación Los Transportadores Marítimos tienen que asegurar el cumplimiento del suministro de información relativa a las llegadas y salidas, como también a la información previa que tienen que remitir a las autoridades, respecto de pasajeros internacionales y tripulación. 5.b. Exactitud de la Información 5.b.i. Procesamiento de Documentación Tienen que existir procedimientos establecidos para garantizar que toda la información y documentación utilizada para despachar mercancías y carga sea legible, completa, exacta y que esté protegida contra los cambios, pérdidas o introducción de información errónea. El control de la documentación tiene que incluir la protección del acceso y de la información en las computadoras. 5.b.i.i. Procedimientos para Asegurar Manifiestos Oportunos y Exactos Para ayudar a garantizar la integridad de la carga recibida, tiene que haber procedimientos establecidos para asegurar que la información recibida de los Asociados de Negocios sea reportada en forma exacta y oportuna. 5.c. Suministro de Datos electrónicos cuando sea requerido (BAPLIEs) Por solicitud de las Autoridades los transportadores marítimos proveerán un plan de estiba y/o un “BAPLIE” requerido, en un formato legible, tales solicitudes serán hechas sobre las bases de un viaje especifico cuando la autoridad requiera información adicional del viaje y será entregado por el transportador marítimo oportunamente. Las Autoridades reconocen que estos documentos no son regulados y los datos incluidos pueden no coincidir con los manifiestos diligenciados. 5.d. Carga Las Autoridades tienen que ser notificadas si son detectadas actividades altamente sospechosas o ilegales. 5 6. Entrenamiento de Seguridad y Conciencia de Amenazas 6.a. Establecer un Programa de Concientización contra Amenazas Tiene que haber un programa de concientización sobre amenazas establecido y mantenido por el Transportador Marítimo para reconocer y crear conciencia de las vulnerabilidades de seguridad para los buques y la carga marítima. Los empleados tienen que ser concientizados de los procedimientos que el Transportador Marítimo ha establecido para reportar un hecho de seguridad o incidente. 6.b. Entrenamiento para los Empleados sobre Seguridad de la Cadena de Suministros Se tiene que ofrecer capacitación específica para ayudar a los empleados a mantener la integridad de la carga, reconocer conspiraciones internas y proteger los controles de acceso. Estos programas deberán ofrecer incentivos por la participación activa de los empleados. 7. Seguridad Física Los Transportadores Marítimos tienen que establecer procedimientos escritos y verificables para prevenir que personal no autorizado ganen acceso a sus buques, incluyendo ocultamiento en contenedores y para prevenir intentos de movimientos de carga mientras ellos estén en custodia del transportador. Tales medidas tienen que estar cubiertas por un Plan de Seguridad ISPS de las instalaciones portuarias y del buque. 7.a. Cercado Una cerca perimétrica deberá encerrar las áreas alrededor de las instalaciones de manejo y almacenaje y manejo de carga, patios de contenedores y terminales. Todas las cercas tienen que ser inspeccionadas regularmente para verificar su integridad e identificar daños. 7.b. Puertas y Casetas Las puertas de entrada o salida de vehículos y/o personal tienen que ser atendidas, monitoreadas y/o supervisadas, de igual manera aseguradas cuando no estén en uso. 7.c. Estacionamientos de Vehículos no comerciales Se debería prohibir que los vehículos privados (de empleados, visitantes, proveedores, y contratistas) se estacionen dentro de las áreas de manejo y almacenaje de carga y buques. 7.d. Estructura de los Edificios Los edificios deben construirse con materiales que resistan la entrada ilegal. Se deben realizar inspecciones y reparaciones periódicas para mantener la integridad de las estructuras. 7.e. Control de Cerraduras y Llaves Todas las ventanas, puertas y cercas interiores y exteriores tienen que asegurarse con cerraduras. La gerencia o el personal de seguridad tienen que controlar la entrega de todas las cerraduras y llaves. 6 7.f. Iluminación Tiene que haber iluminación adecuada dentro y fuera de la instalación, incluso en las siguientes áreas: entradas y salidas, áreas de manejo y almacenaje de carga, barreras perimetrales y áreas de estacionamiento. Mientras permanezca el buque en el puerto, el muelle y el lado al agua del buque tienen que estar adecuadamente iluminados. 7.g. Sistemas de Alarmas y Videocámaras de Vigilancia Se tienen que utilizar sistemas de alarmas y videocámaras de vigilancia para supervisar y monitorear las instalaciones e impedir el acceso no autorizado a buques y a las áreas de manejo y almacenaje de carga. 8. Seguridad de Tecnología de información 8.a. Protección con Contraseña Para los sistemas automatizados se tienen que asignar cuentas individuales que exijan un cambio periódico de la contraseña. Tiene que haber políticas, procedimientos y normas de tecnología de informática las cuales tienen que ser comunicadas a los empleados mediante capacitación. 8.b. Tecnología de Informática Tiene que haber un sistema establecido para identificar el abuso de los sistemas de computación y de tecnología de informática y detectar el acceso inapropiado y la manipulación indebida o alteración de los datos comerciales y del negocio. Se tienen que aplicar medidas disciplinarias apropiadas a todos los infractores de los sistemas de información. 9. Evaluación de Seguridad, Respuesta y Mejora Los Transportadores y BASC tienen un interés mutuo en las evaluaciones de seguridad y mejoras, y reconocen que procedimientos específicos de seguridad implementados pueden ser encontrados en el futuro con debilidades o ser objeto de elusión. Cuando un incidente de seguridad es identificado, el Transportador y BASC se reunirán en un esfuerzo para determinar que permitió la falla y formular mutuamente las medidas remédiales. Si BASC determina que el incidente de seguridad aumenta una preocupación substancial o una debilidad de seguridad y requiere remedios substanciales, BASC se reunirá con la Gerencia del Transportador para discutir tales preocupaciones e identificar medidas remédiales apropiadas para ser tomadas. 7 PARTE “B” ESTÁNDARES ADICIONALES A LOS REQUISITOS MINIMOS DE C-TPAT 1. Estudio Legal 1.1 Se tiene que tener un listado de los requisitos legales que le son aplicables a la Empresa para su operación y estos tienen que encontrarse actualizados y disponibles 2. Sistema de Gestión 2.1 Tiene que existir un diagnostico o revisión inicial al estado de la organización que permita medir el avance en la implementación y en el mantenimiento del sistema de Gestión. 2.2 La Empresa tiene que elaborar, publicar y difundir la política de Seguridad que incluya la prevención contra actividades ilícitas (prácticas de narcotráfico, terrorismo y otros.) 2.3 Tienen que determinarse los objetivos de seguridad que garanticen el cumplimiento de la política de seguridad Tienen que definirse y documentarse las responsabilidades y autoridades de todo el personal que afecta la seguridad 2.4 2.5 La Alta Dirección de la Empresa tiene que realizar mínimo, una revisión anual del sistema de Gestión en Control y Seguridad BASC, para asegurarse de su cumplimiento. 2.6 Tiene que existir un representante de la dirección claramente identificado con autoridad y responsabilidad para asegurar el cumplimiento del sistema de gestión en control y seguridad BASC. 2.7 El manual de seguridad BASC tiene que describir el cumplimiento de los requerimientos descritos en los Estándares de Seguridad y en los elementos del sistema de gestión en control y seguridad. 2.8 Tiene que realizarse cuando menos, un ciclo de auditorías internas anualmente, para establecer que las políticas, procedimientos y demás normas de control y seguridad se estén cumpliendo. 2.9 Tiene que disponerse de un equipo de auditores internos, competente en el Sistema de Gestión en Control y Seguridad BASC. 2.10 Tienen que identificarse los procesos que realiza la organización, utilizando la metodología del mapa de procesos 2.11 Tienen que caracterizarse los procesos, identificando entradas, salidas, indicadores de medición, requisitos a cumplir, documentos a utilizar y responsables del proceso. 2.12 Tiene que documentarse y aplicarse un procedimiento de acción correctiva y preventiva. 8 3 Administración y selección de Personal propio, subcontratado y-o suministrado 3.1 Tiene que realizarse una visita al domicilio del personal que ocupa las posiciones críticas o que afecta a la seguridad. 3.2 Tienen que realizarse y mantenerse actualizados, registros de afiliación a instituciones de seguridad social y demás registros legales de orden laboral 3.3 Tiene que realizarse pruebas al personal de áreas críticas, para detectar consumo de drogas ilícitas y alcohol, antes de la contratación, aleatoriamente y cuando haya sospechas justificables. 3.4 Tiene que contar con un programa de concientización sobre consumo de alcohol y drogas, que incluya avisos visibles y material de lectura. 3.5 Tiene que disponer de un archivo fotográfico actualizado del personal e incluir un registro de huellas dactilares y firma, conforme a la legislación local. 3.6 Tiene que controlar el suministro (entrega y devolución) de uniformes de trabajo de la empresa. 4 Sistema de Seguridad 4.1 La Empresa tiene que tener un Jefe o responsable de la seguridad, con funciones debidamente documentadas. 4.2 Tiene que disponerse de un plano con la ubicación de las áreas sensibles de la instalación. 4.3 Las áreas de lockers de empleados tienen que estar controladas y separadas de las áreas de almacenamiento u operación de carga. 4.4 La Empresa tiene que tener un servicio de seguridad propio o contratado con una empresa competente. 4.5 Tiene que disponer de sistemas adecuados que permitan la comunicación con los supervisores y encargados de seguridad y con las autoridades nacionales y extranjeras. 4.6 Tiene que garantizar una acción de respuesta oportuna y disponible por parte del personal de Seguridad durante 24 horas al día. 4.7 Tiene que tener procedimientos y dispositivos de alerta para la evacuación en caso de amenaza o falla en las medidas de protección. 4.8 Tienen que documentarse y aplicarse procedimientos para la realización de ejercicios prácticos y simulacros de los planes de protección y de procedimientos de contingencia y emergencia. 5 Logística de Recibo y despacho de carga 5.1 Tiene que disponerse de un registro actualizado de los movimientos realizados por los equipos que movilizan las unidades de transporte al interior de las instalaciones 5.2 Tienen que existir sistemas que permitan la verificación de equipajes y efectos personales; adicionalmente de un proceso de control sobre estos 9 6 Control de materias primas y material de empaque 6.1 El material de empaque de exportación tiene que observar diferencias al del producto nacional y Tiene que estar controlado. 6.2 El material de empaque y embalaje tiene que ser revisado antes de su uso. Se tiene que disponer de un procedimiento documentado para el manejo y control del material de empaque Cintas adhesivas / corrugados 6.3 Si utiliza sustancias precursoras para la fabricación de los productos, estas tienen que estar controladas conforme a las regulaciones legales. 7 Control de documentos y de información 7.1 Tiene que disponerse de un procedimiento documentado de control de documentos, que incluyan listados maestros de documentos y de registros. 7.2 Tienen que existir procedimientos sobre entrega y archivo de la información 7.3 La Empresa tiene que disponer de un lugar adecuado y seguro para el archivo de los documentos. 7.4 Tiene que existir una política de firmas y sellos que autoricen los diferentes procesos. 7.5 Tiene que observar el cumplimiento de las disposiciones y normas relativas a proteger la propiedad intelectual. 7.6 Tiene que disponer de copias de respaldo con la información sensible de la organización. Una copia tiene que estar fuera de las instalaciones. 10